Cosa mi sono perso?

Holy moly. Allora ho letto (velocemente) solo una parte della discussione perche’ e’ lunga.

Non conosco il tizio e non me ne voglia ma alcune cose che ha scritto mi hanno fatto ridere :smiley: e poi suona anche arrogante IMO.

Premetto che mi alterno da una vita tra macOS come primary OS/daily driver e Kali Linux (per security work).

Per quanto riguarda la privacy, Safari ha una storia di problemi con webcam e mike, con almeno un paio di episodi critici abbastanza recenti (una bounty l’hanno pagata mi pare $100K ed era correlata alla webcam, ma ce ne sono stati varie episodi non altrettanto famosi anche dopo quello; i vari claims che Apple fa sulla privacy di Safari possono essere presi seriamente soltanto in parte (e.g. fingerprinting). Un altro problema che Safari ha avuto per anni e’ la gestione del localStorage, e questi problemi sono stati risolti solo recentemente. Safari ha una lunga storia di problemi sia con privacy che vulnerabilita’ varie e non e’ migliore di altri browser da questi punti di vista. Tra l’altro anche la discussione performance se fatta sulla base di benchmarks che non riproducono uso reale etc non ha molto valore IMO.

Poi parla di iCloud Private Relay e “totale rispetto della privacy”. OMG. Chiaramente e’ lui a non sapere di cosa parla. Purtroppo non ho il permesso di fare disclosure ma una delle mie bounty su Apple aveva a che fare col relay service, anche se indirettamente (in origine stavo investigando una vulnerabilita’ con il calendar). Non posso condividere dettagli, posso solo dire che non e’ senza problemi.

Mi fai un riassunto dei 2/3 finali della discussione? E’ molto lunga…

3 Likes

Forse va bene che è domenica sera, se sto thread era di venerdi pomeriggio saltava il server

1 Like

A seconda della versione che c’era al periodo a cui ti riferisci, non e’ che ci voglia molto :D Discourse ha avuto una marea di XSS vulns, auth bypass etc etc.

Dato che lavori in cybersecurity, se puoi, ti andrebbe di condividere la tua storia?
Hai iniziato come sviluppatore e poi hai virato sulla sicurezza?
Cosa consiglieresti a un professionista IT che volesse approfondire maggiormente gli aspetti IT-Sec?
Grazie mille.

Schersavo, non ne so un cazzo, ho solo raggirato Crius facendogli credere che ero un’altro e facendomi dare i privilegi da mod :asd:

NO no wait wait non qui, qui continua le presentazioni, vai di la, nell’altro thread se riesci a issare la bandiera della vittoria in quel thread Crius ti da per direttissima le chiavi del forum e anche di casa.

Mi sento vecchio quando torna un user vecchio e la sua data d’iscrizione è 2017 :asd:
Cmq racconta di più sulla cyber security, sono anche io molto interessato. Tanti anni fa è un ambito che seguivo parecchio ora molto di meno…

Ho iniziato come developer dai mid 90s e ho lavorato su sistemi di diversi tipi, anche alcuni a web scale :)

Non so l’eta’ media di questo forum ma non sono proprio giovanissimo.

Sono sempre stato interessato alla sicurezza e naturalmente, essendo stato developer per tanti anni avevo una solida foundation. Ma mi sono interessato di piu’ in security da quando ho iniziato a lavorare con Kubernetes dall’inizio quando fu reso open source (ho fatto DevOps per molti anni pure), e poi ho fatto varie certifications con Offensive Security (adesso si chiama OffSec). Faccio ancora qualcosa da developer/devops perche’ mi piacciono, assieme a red teaming per l’azienda per cui lavoro e da qualche anno lavoro part time anche come bug bounty hunter.

Se ti interessano questi argomenti ti posso dare qualche consiglio su come iniziare, ma c’e’ qualcosa che ti interessa in particolare? Per esempio io mi sono “specializzzato” per cosi’ dire in web apps visto il mio background, ma ho anche esperienza con network security. Ci sono vari altri settori. Cosa ti interessa di piu’?

2 Likes

Io non scherzavo invece. :) Discourse ha gia’ avuto parecchie CVEs

Cmq LOL se ci e’ cascato :asd:

Ma e colpa di Ruby on rails o dei dev di discourse ?

Che ne pensi dei Ferragnez?

Rails OOTB e’ piu’ sicuro di molti altri frameworks perche’ ha bult in molte mitigations per molte vulns comuni. La maggior parte delle vulns trovate su Discourse negli ultimi anni erano di tipo XSS (Cross Site Scripting) per via di mancante o improper escaping di user input. (Se non sei familiar con XSS leggi qui Cross Site Scripting (XSS) | OWASP Foundation)

Ma ci sono state varie altre, qui c’e’ la lista di quelle riconosciute uffiicialmente: Discourse Discourse : CVE security vulnerabilities, versions and detailed reports

1 Like

hint

Ho dovuto usare Google perche’ non conosco il termine. E’ una serie TV o a cosa ti riferisci?

5 Likes

Io attualmente lavoro come DevOps, termine che non amo particolarmente ma pazienza.
Il mio focus attuale è su webapplication e webapi con backend in .NET Core, e tutta la platform a corollario (Software supply chain).
Ad esempio continuo ad avere un rapporto complicato con Kubernetes, lo vedo come estremamente complesso, ha molte componenti in movimento e anche per quello lo vedo un cliente ostico per operarlo in sicurezza.
Se ti va di condividere qualcosa anche in PM volentieri, non voglio far deragliare il thread.

Per me è sufficiente .
@Crius si torna vbb :sisi: . Discourse :poop:

2 Likes

Come ti invidio
Anche per le competenze informatiche, io ero un bimbino molto portato da adolescente ma purtroppo o per fortuna ho preso tutto un altro indirizzo
Ma soprattutto ti invidio perché non sai chi cazzo sono quei due, non cambiare mai :asd:

2 Likes

Tranquo, sei sicuramente nel range dell’età media :sisi:

[quote=“Beriag, post:75, topic:840816, full:true, username:Beriag”]

Io attualmente lavoro come DevOps, termine che non amo particolarmente ma pazienza.
Il mio focus attuale è su webapplication e webapi con backend in .NET Core, e tutta la platform a corollario (Software supply chain).
Ad esempio continuo ad avere un rapporto complicato con Kubernetes, lo vedo come estremamente complesso, ha molte componenti in movimento e anche per quello lo vedo un cliente ostico per operarlo in sicurezza.[/quote]

Per me e’ forse semplice perche’ ho lavorato con Kubernetes sino dai primi giorni, ma capisco che per molti la learning curve non e’ facile. Ma e’ una platform che offre molto, e definitivamente i pros sono piu’ dei cons. E te lo disco da uno che ha gestito clusters con fino a 7000 nodes :)

Certo, fatti sentire se vuoi qualche consiglio. :)

No per carita’, lascia perdere VB. Meglio Discourse a questo punto :slight_smile:

Quei due chi?

1 Like